Может ли кто-нибудь помочь мне удалить определенные группы безопасности из файла с помощью icacls?
У файла есть все настройки безопасности, унаследованные от папки, в которой находится файл. Поэтому я хотел бы удалить все группы из списка ACL файла, а затем назначить разные группы.
Как я могу этого добиться?
Во-первых, вам нужно удалить наследование объекта, что вы можете сделать, запустив: icacls file.txt /inheritance:d
(где file.txt
это файл, который вы хотите изменить).
Это удалит наследование, но скопирует унаследованные ACL в file.txt
. Если вы уверены, что вам не нужны унаследованные списки ACL, вы можете просто использовать: icacls file.txt /inheritance:r
, но будьте осторожны, вы случайно не удалите свои собственные разрешения при этом.
Затем вы можете удалить пользователя или группу из списков ACL объекта, используя: icacls file.txt /remove:g NTDOMAIN\sAMAccountName
, или вы можете указать пользователя / группу, используя UPN (например, bob.smith@activedirectory.example.com
).
Когда вы приходите добавлять пользователей / группы в списки управления доступом, вам нужно подумать о том, какие разрешения вы хотите, чтобы они имели. Если full control
, это представлено F
. Если modify
, это представлено M
. Read and Execute
по буквам RX
.
Команда для добавления пользователя / группы в списки ACL: icacls file.txt /grant NTDOMAIN\sAMAccountName:(M)
- что предоставит modify
разрешения (M)
в ту учетную запись / группу, которую мы укажем.
Возможно, вы захотите добавить явных пользователей / группы в ACL перед вы удаляете наследование файла, а не «удаляете все группы из списка ACL файла, а затем назначаете другие группы», потому что это может закончиться удалением вас из ACL и блокировкой вас из него.